최근 삼성전자의 '갤럭시노트10'의 지문인식 기능에 오류가 발생했다는 소식이 시장에 큰 반향을 일으켰다.
다만 정확하게 말하면 '지문인식 기술이 뚫렸다'라는 표현과는 다소 거리가 있어보인다.
실리콘 케이스를 스마트폰 표면위에 덧대고 지문이나 물리적인 힘을 가했을 경우 스마트폰 잠김이 쉽게 풀리는 동영상을 보면, 이것이 과연 순수하게 지문인식 기술의 문제인지 아니면 예상치 못한 스마트폰 접촉 물질에 의한 의외의 간섭 현상, 또는 오작동인지는 분리해서 따져봐야 할 문제로 보인다. .
삼성전자 측은 결과적으로 지문인식 프로그램에 오류가 있다는 사실을 인정했고, 소프트웨어 패치를 통해 문제를 곧 해결하겠다는 입장을 밝힌 상태다.
그러나 삼성전자 스마트폰에서 기능하는 지문인식서비스를 기반으로 한 모바일뱅킹서비스를 출시해온 국내 금융권의 입장에서보면 상황이 엄중하다. 이번 지문인식 오류 사태가 미치게될 충격파는 솔직히 상상 이상이다.
결론부터 말하면, 이번 지문인식 오류는 그동안 모바일금융서비스에서 절대적으로 무너져서는 안되는 2가지 전제가 동시에 무너졌다.
첫째는 바이오 보안에 대한 절대적인 믿음의 붕괴, 두번째는 스마트폰 제조사의 바이오정보 인식기능에 사실상 무임승차했던 국내 금융권 금융보안서비스 관행의 붕괴다.
특히 스마트폰 제조사의 바이오인식 기능에 따라 금융서비스가 종속되는 문제가 끊임없이 제기돼왔지만 그동안 핀테크 혁신 분위기 때문에 이렇다할 문제제기가 없었다는 점은 금융권 내부적으로 반성해야 할 부분이다.
◆바이오(지문)보안은 절대적으로 안전하다?..."결과적으로 그렇지 않게 됐다"
지문, 지정맥, 손바닥정맥, 홍체, 안면 등 다양한 바이오(생체) 정보를 이용한 금융보안서비스가 최근 3~4년간 급격히 확산되고 있다.
이미 20여년부터 금융권에서 바이오 보안서비스가 제시되기는 했으나 바이오 정보의 기술적 표준화와 관리, 고객의 거부감, 바이오 인식 단말기 설치 비용, 업무 프로세스 조정의 번거로움 등 으로 광범위한 확산은 이뤄지지 않았다. 이 때문에 대고객용 서비스 보다는 금융회사 내부적으로 본지점간 업무 결재 프로세스에 적용되는 선에서 그쳤다.
하지만 이처럼 금융회사 내부의 보안 프로세스를 강화하기 위한 차원에서 제한적으로 시도되던 바이오 인식 인프라는 지문인식이 가능한 스마트폰이 출시되면서 큰 전환기를 맞이한다.
스마트폰 기반의 모바일뱅킹서비스에 '지문인식' 기능이 결합되면서 대고객용 바이오인증 서비스가 급격하게 확산하게 된 것이다. 더구나 이제 공인인증서 의무 사용 정책이 폐기되면서 금융권에선 강력하고 안전한 차세대 보안수단을 찾아야했다. 이런 상황에서 바이오 기반의 금융보안은 시기적으로도 구세주와 같았다.
이같은 금융권의 바이오 금융보안서비스의 확대는 '바이오 정보가 절대적으로 안전하다'는 강력한 전제를 깔았기때문이다.
실제로 바이오 보안은 다른 어떤 수단에 비해 보안수준이 여전히 월등히 높다. 영화에서보면 복제한 지문으로 문을 열고, 사람의 손가락를 잘라서 잠금을 해제하는 경우가 있는데, 이는 영화적 상상력일뿐 실제로 금융보안에 적용할 보안단말기는 그렇게 허술하게 뚫리지는 않는다.
문제는 이번처럼 '지문의 복제'와 같은 방식이 아닌 실리콘을 덧댄 상황처럼, 기존에는 생각하지 못했던, 어이없는 상황에 대한 예상치 못한 수많은 '경우의 수'가 얼마든지 나올 수 있다는 점이다.
바이오 정보가 가지는 보안의 우월성은 여전히 그 자체로 완벽하게 견고함을 인정하더라도, 결과적으로 '예상치 못한 경우의 수'에 의한 뚫림과 오류에 대해서는 그 누구도 장담하지 못한다는 교훈을 남겼다.
◆스마트폰 제조사에 의존해온 바이오 금융보안서비스…금융권 "대응 무방비" 허점 노출
스마트폰 지문인식 서비스의 오류가 발생하자 일부 금융회사들은 스마트폰 지문인식을 통한 송금 기능 등을 막는 등 부랴부랴 대응책 마련에 나서고 있다.
현재 스마트폰 금융서비스를 지문인증 방식으로 하는 경우는 '스마트폰 소유자 = 금융계좌의 소유자'가 동일하다는 것을 전제하고 있다.
그러나 엄밀히 따지면, 금융회사는 스마트폰에 등록된 고객의 생체정보에 접근 권한이 없으며, 진위여부도 스스로 판정할 수 없다. 고객 스마트폰에 등록된 지문정보가 고객 본인아 아니라 가족인지 아니면 제3자인지 은행은 결코 알지 못한다. 현재 은행들은 스마트폰에 등록된 고객 지문에 대한 소유권, 접근권이 없다. 즉, 고객 지문이 고객 본인이 맞는 것인지 정합성을 파악할 수 없다.
이는 애초에 삼성전자 스마트폰의 지문인식은 금융서비스용으로 만든것이 아니라 단순히 사용자가 본인의 스마트폰 사용 보안성을 높이기위한 기능에 불과하기 때문이다.
따라서 엄밀히 말하면 삼성전자는 스마트폰에 저장된 지문정보를 통한 금융사고는 삼성전자가 아닌 금융회사가 짊어져야할 몫이다. 즉, ‘본인의 스마트폰이 100% 맞다’는 전제하에 금융회사가 단지 스마트폰의 지문인식과 연계된 금융서비스를 허용했기 때문이다.
물론 이러한 모바일 바이오정보를 활용한 금융서비스는 FIDO의 가이드라인에 따라 안전하게 다양한 활용방법이 제시되고 있지만 처음부터 범죄의 의도(?)가 개입했을 경우에는 이를 막아낼 방법이 없다.
예를 들어, 만약 A라는 사람이 B씨가 개통한 지문인식 휴대폰에 A씨 본인의 계좌와 연동된 금융서비스를 이용하도록 두 사람이 처음부터 모의했다면 은행의 입장에선 금융실명제의 일탈을 막아낼 수 없다. B씨는 자신의 지문을 등록한 스마트폰을 이용해 A씨의 금융계좌에서 이체 등 금융거래를 할 수 있다. 이는 현실적으로 A와 B씨의 지문이 동일한 지 여부를 판정하는 금융정보 프로세스가 존재하지 않기때문에 가능한 일이다.
사실 이는 지문인식의 기술적 문제라기 보다는 금융실명제를 우회한 현행 비대면금융서비스 시대의 허점이기도 하지만 스마트폰의 지문정보를 금융보안 정보로 치환시켜 핀테크라는 서비스로 무리하게 당겨쓴 금융권도 스스로 책임을 느껴아할 문제다.
삼성전자 등 스마트폰 제조사들의 지문인식 기능을 전적으로 신뢰해, 거기에 기대어 금융서비스를 마치 혁신인것처럼 내놓는 것은 눈속임일 뿐이다. 결국 이번과 같은 당황스러운 결과에 속수무책일 수 밖에 없는 상황을 만든 책임에서 자유로율 수 없다.
한편, 현재 금융권에서는 스마트폰 지문정보와는 별개로, 독자적으로 지문, 지정맥 등 고객 바이오(생체)정보를 따로 등록 관리하면서 ATM(현금인출기) 이용, 고객 창구이용시 편의를 제공하기 시작하고 있다. 금융서비스를 위한 '금융 바이오 정보'는 이런 경우에만 해당된다.
또한 금융결제원은 이미 지난해부터 금융바이오 정보 표준분산관리 체계를 완성해 어느 한 은행에서 고객의 바이오정보를 등록하면 다른 은행도 이를 이용해 편리하게 금융서비스를 제공하는 체계를 만들었다.
다소 속도는 느리지만 금융서비스를 위한 바이오정보 체계와 프로세스 개발은 어디까지나 금융당국과 금융회사가 시간과 노력을 투자해 마련해야할 과제다. 이렇게 마련된 금융 바이오 정보를 개인이 보유한 스마트폰에 탑재시켜 편리하게 사용하도록 하는 것이 궁극적으로 바이오기반 모바일금융서비스가 가야할 방향이다.
<박기록 기자>rock@ddaily.co.kr